售前電話
135-3656-7657
售前電話 : 135-3656-7657
國家高新技術企業 省級專精特新企業
咨詢熱線:135-3656-7657 400-6333-661
國家高新技術企業 省級專精特新企業
咨詢熱線:135-3656-7657 400-6333-661
1.防火墻在OSI/RM中的位置
防火墻是設置在被保護的網絡和外部網絡之間的一道屏障,以防止發生不可預測的、潛在破壞性的侵入,它可通過監測、限制、更改跨越防火墻的數據源,盡可能地對外部屏蔽網絡內部信息、結構和運行狀況,以此來保護內部網絡的安全。
在OSI/RM參考模型中,數據包過濾方式如圖1所示。代理服務方式如圖2所示。
2 .防火墻的發展史
目前,防火墻的發展過程大致分為5代。
● 第一代防火墻:第一代防火墻技術幾乎與路由器同時出現,采用了包過濾(packetfilter)技術。
● 第二、三代防火墻:1989年,貝爾實驗室的DavePresotto和HowardTrickey推出了第二代防火墻,即電路層防火墻,同時提出了第三代防火墻一應用層防火墻(代理防火墻)的初步結構。
● 第四代防火墻:1992年,USC信息科學院的BobBraden開發出了基于動態包過濾(dynamicpacketfilter)技術第四代防火墻,后業演變為目前所說的狀態監視(statefulinspection)技術。1994年,以色列的Checkpoint公司開發出了第一個基于這種技術的商業化的產品。
● 第五代防火墻:1998年,NAI公司推出了一種自適應代理(adaptiveproxy)的技術,并在其產品GauntletFirewallforNT中得以實現,給代理類型的防火墻賦予了全新的意義,可以稱為第五代防火墻。
從發展過程來看:防火墻從包過濾方式到今天的狀態檢測。
從技術角度來看:防火墻是作為一種連接內部網絡和公眾網的網關,提供對內部網絡連接的訪問控制能力。它能根據預先定義的安全策略,允許合法連接進入內部網,阻止非法連接。防火墻的基本功能包括:訪問控制、數據過濾、身份驗證、告警、日志和審計。
防火墻技術經歷了以下幾個方面。
1) 包過濾防火墻(packetfilterfirewall).
包過濾防火墻是最早的防火墻技術,它根據數據包頭信息和過濾規則阻止或允許數據包通過防火墻。當數據包到達防火墻時、防火墻檢查數據包包頭的源地址、目的地址、源端口、目的端口及其協議類型。若是可信連接,就允許通過;否則丟棄數據包。但它有自身的弱點,因此它一般用于對安全性要求不高、要求高速處理數據的網絡路由器上,如表所示。
2)應用代理防火墻(applicationproxy firewall)。
應用代理防火墻檢查數據包的應用數據,并且保持完整的連接狀態,它能夠分析不同協議的完整的命令集,根據安全規則禁止或允許某些特殊的協議命令;還具有其他像UPL過濾、數據修改、用戶驗證、日志等功能。
應用代理防火墻包含三個模塊:代理服務器、代理客戶和協議分析模塊。這種防火墻在通信中執行二傳手的角色,很好地從Internet中隔離出受信網絡,不允許受信網絡和不受信網絡之間的直接通信,獲得很高的安全。但是由于所有的數據包都要經過防火墻TCP/IP協議棧并返回,因此處理速度較慢,其優缺點如表所示。
3)入侵狀態檢測防火墻(statefulinspection firewall).
入侵狀態檢測防火墻也叫自適應防火墻,或動態包過濾防火墻,Checkpoint公司的FireWall-1就是基于這種技術。它根據過去的通信信息和其他應用程序獲得的狀態信息來動態生成過濾規則,根據新生成的過濾規則過濾新的通信。當新的通信結束時,新生成的過濾規則將自動從規則表中被刪除。這種類型防火墻的主要優缺點如表所示。
4)自適應代理防火墻(adaptiveproxyfirewall)、
自適應代理防火墻整合了動態包過濾防火墻技術和應用代理技術,本質上是狀態檢測防火墻。它通過應用層驗證新的連接,若新的連接是合法的,它可以被重定向到網絡層。因此這種防火墻同時具有代理防火墻和狀態檢測防火墻的特性,其優缺點如表所示。
